当苹果、谷歌等公司发出政府间谍软件攻击警告时,意味着您可能已成为目标。收到通知后,应立即采取行动,例如开启苹果的“锁定模式”或谷歌的“高级保护计划”等强化安全设置。根据您的身份,可以寻求不同组织的帮助:记者和活动家可以联系 Access Now 等非营利组织,而其他人则可能需要求助专业的私营安全公司。调查过程复杂,且不一定能找到确凿证据,但揭露此类攻击有助于防范技术滥用。
收到警告后:首先做什么?
首先,请严肃对待这个警告。发出警告的公司拥有海量数据和专业的安全团队,如果他们认为您是目标,那么这很可能是事实。
值得注意的是,收到通知不一定意味着您的设备已被成功入侵,攻击可能已经失败了。但无论如何,您都需要采取行动来加固安全防线。
对于谷歌用户: 谷歌的警告通常意味着攻击已被阻止。您应该立即检查并开启多重因素认证(最好使用物理安全密钥),并启用 谷歌的高级保护计划(Advanced Protection Program),它会为您的账户增加更多安全层。
对于苹果用户: 您应该立即启用 锁定模式 (Lockdown Mode)。该模式会开启一系列严格的安全功能,大幅增加黑客攻击的难度。尽管没有系统是完美的,但苹果声称尚未发现有开启锁定模式的用户被成功攻击的案例。
Access Now 等安全组织建议,即使没有收到警告,也应养成良好的安全习惯,包括:定期重启手机、及时更新设备系统和应用程序、警惕可疑链接和附件。
如何寻求专业帮助
接下来的步骤取决于您的身份和技术能力。
如果您具备一定的技术知识,可以先尝试使用开源工具 MVT (Mobile Verification Toolkit) 自行检查设备上是否存在攻击的取证痕迹。
如果您无法或不想自行操作,可以直接向专业组织求助:
记者、活动家、学者或人权捍卫者:
- Access Now 及其数字安全求助热线
- 国际特赦组织 (Amnesty International) 的安全实验室
- 多伦多大学的 公民实验室 (The Citizen Lab)
- 无国界记者组织 (Reporters Without Borders) 的数字安全实验室
政客或企业高管: 这类人士通常无法获得上述非营利组织的帮助。首选方案是联系您所在公司或政党的安全团队。如果他们缺乏相关经验,也可以考虑寻求专业的私营网络安全公司,例如 iVerify、Lookout 或由资深安全专家领导的 TLPBLACK 等。
调查流程是怎样的?
调查通常从远程诊断开始。您需要按照指导在设备上生成一份诊断报告文件,并将其分享给调查人员。这一步通常可以发现攻击或感染的迹象。
如果初步检查没有结果或需要更深入的分析,调查人员可能会要求您提供:
- 完整的设备备份文件
- 或者,直接寄送您的物理设备
调查可能非常耗时,因为现代间谍软件的策略是“打了就跑”(smash and grab)。它会尽可能快地窃取数据,然后尝试抹去所有痕迹并自行卸载,以躲避研究人员的分析。
因此,即使经过深入调查,也不一定能找到确凿的证据。
调查之后:公开还是匿名?
如果您是记者或活动家,协助您的组织可能会询问您是否愿意将攻击事件公之于众,但这并非强制要求。
选择公开有几个重要意义:
- 谴责政府行为: 揭露政府正在将您作为攻击目标。
- 警示他人: 提醒与您处境相似的人群提防间谍软件的危险。
- 曝光技术滥用: 证明相关间谍软件公司的技术正被其客户滥用于不当目的。